2288996

Ransomware: Goldeneye/Notpetya war ganz und gar nicht trivial

01.08.2017 | 17:00 Uhr |

In den Sozialen Medien gab es eine Flut von Vermutungen und ungenauen Behauptungen über die Goldeneye/Notpetya-Attacke, und auch die Analysten-Communities versuchten, die höchst verdächtige Attacke und deren Wirkungsweise zu verstehen und zu analysieren. Bei Bitdefender hat man die Fakten untersucht, um die vielfältigen Fragen, die rund um die jüngste Ransomware-Attacke kursierten, zu beantworten.

Welches Ziel steht hinter der Attacke? Wie fing sie an? Und worauf werden uns in der nahen Zukunft einstellen müssen?

Hier einige Gründe, warum in unseren Augen Goldeneye/Notpetya keine gewöhnliche Ransomware-Attacke war:

1. Niemand attackiert für Lösegeld gezielt Osteuropa

Wer die neuesten Entwicklungen im Malware-Umfeld verfolgt, dem wird auffallen, dass die meisten Ransomware-Attacken aus den Staaten des ehemaligen Ostblocks stammen. Nur selten jedoch versuchen Angreifer in der Nähe ihrer Heimat zu monetarisieren. Jene, die versuchen, ein Land anzugreifen, das bereits durch Kriege und wirtschaftliche Probleme in Schwierigkeiten ist, haben ihre Chancen auf Erfolg nicht wirklich gut recherchiert.

2. Goldeneyes Versuche, zu monetarisieren, sind nur vordergründig

Ein simples Marketingprinzip ist, die Menschen zu einem Warenkorb zu führen, wo sie alles kaufen können, was man verkaufen kann – und das möglichst schnell und einfach. Hier verfehlt Goldeneye/Notpetya sein Ziel völlig. Betroffene müssen einen 60 Ziffern langen Installationskey in Verbindung mit einer 34 Ziffern langen Bitcoin-Adresse auf einem anderen Gerät eingeben. Diese Information wird dann an eine Mail-Inbox gesendet. Das bietet viel Raum für Fehler. Und, apropos Mail-Inbox, das Mailkonto wurde vom Betreiber doch glatt aufgrund von Missbrauch gesperrt.

3. Die Malware zielt nur auf Unternehmen mit geschäftlichen Aktivitäten in der Ukraine

Goldeneye/Notpetya wurde ursprünglich durch einen Angriffsvektor gestreut, der nur eine bestimmte Nische betrifft, einen Update-Server für die sogenannte Medoc-Buchhaltungsanwendung, die ausschließlich in der Ukraine genutzt wird. Die Ransomware-Epidemie, die sich über die Ländergrenzen hinaus ausbreitete, ist sozusagen der „Kollateralschaden“. Er entstand dadurch, dass sich die Malware in den ausländischen Zweigstellen der angegriffenen Firmen einnistete – womit wir wieder bei Punkt 1 wären.

4. Privatanwendern wurde kein Schaden zugefügt

Der ausgeklügeltste Aspekt der Malware ist vermutlich der Code, der die Verbreitung im lokalen Netzwerk („Lateral Movement“) verantwortet. Die Ransomware wurde dahingehend optimiert, sich in Computern des gleichen Netzwerks auszubreiten, sobald sie den Schutz des Netzwerks einmal durchbrochen hat. Goldeneye/Notpetya sollte sich eher in großen Computernetzwerken viral verbreiten als auf Home- oder Office-Rechnern. Auch ist ja der tatsächliche Infektionsvektor die Medoc-Software, eine Business-Applikation, die kaum auf Privat-Rechnern läuft.

5. Goldeneye opfert Daten zugunsten seiner Verbreitung

Goldeneye breitet sich von Computer zu Computer weiter aus, markiert dabei aber nicht seine bereits infizierten Ziele. Wegen des hochaggressiven Verbreitungsmechanismus verschlüsselt es immer und immer wieder bereits infizierte Computer. Das macht letztlich die Entschlüsselung unmöglich.

6. Ein Bitcoin-Wallet für alle Zahlungen

Bei herkömmlicher Ransomware wird die Bezahlung in Bitcoin-Wallets gefordert, die spontan generiert werden. Das hilft Hackern, das Ausmaß der Erpressung zu verbergen und verhindert, dass die Polizei und die Behörden darauf aufmerksam werden und rechtliche Schritte einleiten. Wie Wannacry nutzt Goldeneye/Notpetya für alle Transaktionen nur ein Bitcoin-Wallet. Beide Wallets dieser Ransomware-Attacken sind so bekannt, dass es einem Hacker äußerst schwerfallen wird, mit dem erpressten Geld Geldwäsche zu betreiben.

7. Es sind verdächtigte Hintertürchen eingebaut

Ein besonders interessanter Aspekt von Goldeneye/Notpetya ist, dass ein Bestandteil des Codes innerhalb der Festplattenverschlüsselung nur aktiviert wird, wenn die Malware auf einem Computer mit einer bestimmten Sicherheitslösung landet. In diesem Fall überschreibt die Malware sofort die ersten zehn Sektoren der Festplatte mit Junk-Daten, was dann die Master Boot Record zerstört anstatt die gesamten Dateien zu verschlüsseln. Da die Master Boot Record von einem Boot-Medium wiederhergestellt werden kann, können die Nutzer ihre Daten wiederherstellen, ohne das Lösegeld zu bezahlen.

Die Kette aus Vorkommnissen, die zur Infektion geführt hat, das Ausmaß der Schäden mit Fokus auf der Ukraine, das vollkommene Desinteresse, diese Attacke finanziell zu nutzen sowie die Tatsache, dass die Malware in manchen Fällen absichtlich die Festplatte korrumpiert, legt die Vermutung nahe, dass es sich bei Goldeneye/Notpetya um keinen gewöhnlichen Ransomware-Angriff handelte.

Wie die Entwicklungen der letzten Monate schon vermuten lassen, wird Ransomware uns weiter beschäftigen und wohl noch zunehmen. Es ist davon auszugehen, dass dabei das Ziel der Monetarisierung in den meisten Fällen im Vordergrund steht. Aber auch bei Cyberkriminellen sind Motive immer breiter gefächert, und so werden die Angriffsformen von Ransomware wohl auch immer komplexer.

0 Kommentare zu diesem Artikel
2288996